Acerca dos conteúdos de segurança do iOS 9.3.2

Este documento descreve os conteúdos de segurança do iOS 9.3.2.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da Segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

iOS 9.3.2

  • Acessibilidade

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação maliciosa poderá conseguir divulgar informações confidenciais do utilizador

    Descrição: foi resolvido um problema de leitura fora dos limites através da validação melhorada da entrada.

    ID CVE

    CVE-2016-1790: Rapelly Akhil

  • CFNetwork Proxies

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante com uma posição privilegiada na rede poderá conseguir divulgar informações confidenciais do utilizador

    Descrição: existia uma fuga de informação no processamento de pedidos HTTP e HTTPS. Este problema foi resolvido através do processamento melhorado dos URL.

    ID CVE

    CVE-2016-1801: Alex Chapman e Paul Stone da Context Information Security

  • CommonCrypto

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação maliciosa poderá conseguir divulgar informações confidenciais do utilizador

    Descrição: existia um problema no processamento de valores de retorno no CCCrypt. Este problema foi resolvido através da gestão melhorada do comprimento da chave.

    ID CVE

    CVE-2016-1802: Klaus Rodewig

  • CoreCapture

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel

    Descrição: foi resolvido um problema de desreferenciação do indicador nulo através da validação melhorada.

    ID CVE

    CVE-2016-1803: Ian Beer do Google Project Zero, daybreaker em colaboração com o programa Zero Day Initiative da Trend Micro

  • Imagens de disco

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante local poderá conseguir ler a memória do kernel

    Descrição: foi resolvida uma condição de disputa através do bloqueio melhorado.

    ID CVE

    CVE-2016-1807: Ian Beer do Google Project Zero

  • Imagens de disco

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel

    Descrição: existia um problema de corrupção de memória na análise de imagens de disco. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2016-1808: Moony Li (@Flyic) e Jack Tang (@jacktang310) da Trend Micro

  • ImageIO

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: o processamento de uma imagem criada com intuito malicioso poderá provocar uma recusa de serviço

    Descrição: foi resolvido um problema de desreferenciação do indicador nulo através da validação melhorada.

    ID CVE

    CVE-2016-1811: Lander Brandt (@landaire)

  • IOAcceleratorFamily

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel

    Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.

    ID CVE

    CVE-2016-1817: Moony Li (@Flyic) e Jack Tang (@jacktang310) da Trend Micro em colaboração com o programa Zero Day Initiative da Trend Micro

    CVE-2016-1818: Juwei Lin da Trend Micro, sweetchip@GRAYHASH em colaboração com o programa Zero Day Initiative da Trend Micro

    CVE-2016-1819: Ian Beer do Google Project Zero

    Entrada atualizada a 13 de dezembro de 2016

  • IOAcceleratorFamily

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação poderá conseguir provocar uma recusa de serviço

    Descrição: foi resolvido um problema de desreferenciação do indicador nulo através do bloqueio melhorado.

    ID CVE

    CVE-2016-1814: Juwei Lin da Trend Micro

  • IOAcceleratorFamily

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel

    Descrição: foi resolvido um problema de desreferenciação do indicador nulo através da validação melhorada.

    ID CVE

    CVE-2016-1813: Ian Beer do Google Project Zero

  • IOHIDFamily

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel

    Descrição: foi resolvido um problema de corrupção de memória através do processamento melhorado da memória.

    ID CVE

    CVE-2016-1823: Ian Beer do Google Project Zero

    CVE-2016-1824: Marco Grassi (@marcograss) da KeenLab (@keen_lab), Tencent

    CVE-2016-4650: Peter Pi da Trend Micro em colaboração com o programa Zero Day Initiative da HP

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel

    Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.

    ID CVE

    CVE-2016-1827: Brandon Azad

    CVE-2016-1828: Brandon Azad

    CVE-2016-1829: CESG

    CVE-2016-1830: Brandon Azad

    CVE-2016-1831: Brandon Azad

  • libc

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante local poderá conseguir provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada da entrada.

    ID CVE

    CVE-2016-1832: Karl Williamson

  • libxml2

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: o processamento de um ficheiro XML criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.

    ID CVE

    CVE-2016-1833: Mateusz Jurczyk

    CVE-2016-1834: Apple

    CVE-2016-1835: Wei Lei e Liu Yang da Nanyang Technological University

    CVE-2016-1836: Wei Lei e Liu Yang da Nanyang Technological University

    CVE-2016-1837: Wei Lei e Liu Yang da Nanyang Technological University

    CVE-2016-1838: Mateusz Jurczyk

    CVE-2016-1839: Mateusz Jurczyk

    CVE-2016-1840: Kostya Serebryany

  • libxslt

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: foi resolvido um problema de corrupção de memória através do processamento melhorado da memória.

    ID CVE

    CVE-2016-1841: Sebastian Apelt

  • MapKit

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante com uma posição privilegiada na rede poderá conseguir divulgar informações confidenciais do utilizador

    Descrição: foram enviadas ligações partilhadas através de HTTP em vez de HTTPS. Este problema foi resolvido através da ativação de HTTPS para ligações partilhadas.

    ID CVE

    CVE-2016-1842: Richard Shupak (https://www.linkedin.com/in/rshupak)

  • OpenGL

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.

    ID CVE

    CVE-2016-1847: Tongbo Luo e Bo Qu da Palo Alto Networks

  • Safari

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um utilizador poderá não conseguir apagar completamente o histórico de navegação

    Descrição: a opção "Limpar histórico e dados dos sites" não limpava o histórico. O problema foi resolvido através da eliminação melhorada de dados.

    ID CVE

    CVE-2016-1849: um investigador anónimo

  • Siri

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma pessoa com acesso físico a um dispositivo iOS poderá conseguir utilizar o Siri para aceder a fotografias e contactos a partir do ecrã bloqueado

    Descrição: existia um problema de gestão do estado ao aceder aos resultados do Siri no ecrã bloqueado. Este problema foi resolvido através da desativação de detetores de dados nos resultados do Twitter enquanto o dispositivo estiver bloqueado.

    ID CVE

    CVE-2016-1852: videosdebarraquito

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: visitar um site malicioso poderá divulgar dados de outro site

    Descrição: foi resolvido um problema de "taint tracking" insuficiente na análise de imagens svg através do "taint tracking" melhorado.

    ID CVE

    CVE-2016-1858: um investigador anónimo

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.

    ID CVE

    CVE-2016-1854: um investigador anónimo em colaboração com o programa Zero Day Initiative da Trend Micro

    CVE-2016-1855: Tongbo Luo e Bo Qu da Palo Alto Networks

    CVE-2016-1856: lokihardt em colaboração com o programa Zero Day Initiative da Trend Micro

    CVE-2016-1857: Jeonghoon Shin@A.D.D e Liang Chen, Zhen Feng, wushi da KeenLab, Tencent em colaboração com o programa Zero Day Initiative da Trend Micro

  • Tela do WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.

    ID CVE

    CVE-2016-1859: Liang Chen, wushi da KeenLab, Tencent em colaboração com o programa Zero Day Initiative da Trend Micro

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.

Data de publicação: